Bancos portugueses sob supervisão do BCE enfrentam prazo de cibersegurança até outubro de 2026
Os bancos portugueses abrangidos pela supervisão direta do Banco Central Europeu têm até 31 de outubro de 2026 para apresentar planos detalhados de defesa contra ciberataques potenciados por inteligência artificial. A exigência insere-se num endurecimento regulatório na zona euro, numa altura em que os supervisores classificam a ameaça cibernética ao sistema financeiro como severa.
Destaques
- BCE exige que os 110 bancos sob sua supervisão, incluindo Caixa Geral de Depósitos, Millennium bcp, Novo Banco e Santander Portugal, entreguem planos de cibersegurança até 31 de outubro de 2026.
- Modernização e substituição de infraestruturas antigas exigidas pelo BCE podem representar investimentos de centenas de milhões de euros e pressionar margens no curto prazo.
- Ameaça cibernética foi elevada para severa pelo Conselho Europeu do Risco Sistémico em junho de 2026, podendo resultar em supervisão reforçada, exigências adicionais de capital e restrições a dividendos após o prazo final.
Exigências do BCE para o prazo de outubro
Conforme noticiado pelo ThePortugalPost, o Banco Central Europeu determinou em julho de 2026 que os 110 bancos sob a sua supervisão direta entreguem planos abrangentes de cibersegurança, com medidas imediatas e de longo prazo, até 31 de outubro de 2026. A orientação surge depois de os reguladores europeus alertarem que modelos avançados de inteligência artificial conseguem identificar vulnerabilidades de software e gerar ferramentas de ataque numa velocidade superior à capacidade humana de resposta.Os planos exigidos pelo BCE devem incluir afetação de recursos, definição de responsabilidades e calendários de implementação. Entre as prioridades de curto prazo estão o reforço dos sistemas expostos à internet, a aceleração da correção de falhas em software de terceiros e componentes open source, bem como a adoção de monitorização reforçada em tempo real.
No plano estrutural, o supervisor quer modernização ou substituição de infraestruturas antigas, melhoria dos protocolos de gestão de crise e recuperação, e reforço das redes de partilha de informação. O BCE liga estas exigências ao cumprimento do Digital Operational Resilience Act, o regulamento europeu que estabelece padrões obrigatórios de risco tecnológico para entidades financeiras.
O regulador também deixa claro que não aceitará respostas padronizadas. Cada banco deve adaptar o plano às suas vulnerabilidades específicas, incluindo dependência de determinados fornecedores tecnológicos, utilização de sistemas legacy e exposição através de bibliotecas open source.
Impacto para Portugal e para o setor financeiro
Para Portugal, a medida abrange depositantes e clientes de instituições supervisionadas pelo BCE, incluindo grupos com presença relevante no mercado nacional como Caixa Geral de Depósitos, Millennium bcp, Novo Banco e Santander Portugal. O objetivo é reforçar a resiliência da infraestrutura que suporta operações de banca digital e transferências, numa fase em que a exposição a ataques automatizados aumenta.Para investidores, o reforço da cibersegurança implica custos significativos. Programas de modernização de sistemas antigos podem exigir investimentos de centenas de milhões de euros nas maiores instituições, pressionando margens no curto prazo enquanto o BCE prepara revisões supervisoras após o prazo de outubro de 2026.
A pressão regulatória é reforçada pela avaliação do Conselho Europeu do Risco Sistémico, que em junho de 2026 elevou a classificação da ameaça cibernética de alta para severa. A preocupação é que um ataque bem-sucedido a um grande banco da zona euro possa propagar-se pelas redes interbancárias de pagamentos, afetando liquidez e confiança no sistema financeiro.
O enquadramento inclui ainda o AI Act, o Cyber Resilience Act, a diretiva NIS2 e o DORA, consolidando uma arquitetura regulatória mais exigente para a resiliência operacional digital. Depois de 31 de outubro de 2026, os bancos considerados insuficientemente preparados podem enfrentar supervisão reforçada, exigências adicionais de capital e possíveis restrições à distribuição de dividendos.
Na nossa publicação anterior sobre o programa de recompra de ações do BCP, detalhámos que o banco já tinha adquirido 55.285.535 ações próprias, passando a deter 0,37% do capital, num investimento de cerca de 56,4 milhões de euros. Explicámos ainda que a recompra, aprovada com um limite máximo de 407,5 milhões de euros e prevista para decorrer até dezembro de 2024, é acompanhada pelo mercado por refletir a estratégia de gestão de capital e o uso de recursos disponíveis.
Últimas notícias ECB
- Forex
- Crypto